[ назад ] [ Содержание ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ вперед ]

Securing Debian HOWTO
Глава 2 - Перед и в течение установки


2.1 Выбор пароля BIOS

Перед установкой любой из операционных систем на ваш компьютер, установите пароль в BIOS и запретите загрузку с дискеты. Иначе говоря, кракеру достаточно будет только загрузиться с дискеты, чтобы получить доступ к вашей системе.

Запрет загрузки без пароля - это еще лучше. Это может быть очень эффективно, если вы запускаете сервер, потому что он не перегружается слишком часто. Прибегать к этому не стоит, если машина физически труднодоступна, поскольку при перезагрузке машине потребуется вмешательство человека.


2.2 Грамотная разбивка диска на разделы

Грамотная разбивка диска на разделы зависит от области применения машины. Хорошое правило для этого - быть беспристрастным и обратить внимание на следующие вещи:

  • Любой раздел, на который пользователь должен иметь возможность писать, например, /home и /tmp, должен быть отдельным. Это сокращает риск отказа в обслуживании пользователя (DoS) в результате переполнения корневого каталога "/" и вследствие этого отказа системы. (Вообще-то это не совсем так, поскольку для суперпользователя резервируется место, которым обычный пользователь не может воспользоваться).
  • Любой раздел, который может сильно распухнуть, напр., /var (особенно /var/log). В контексте Debian вы должны создать /var несколько больше, чем обычно, потому что скачанные пакеты (кеш программы apt) сохраняются в каталоге /var/apt/cache/archives.
  • Любой раздел, куда вы планируете устанавливать недистрибутивное ПО. В соответствии с File Hierarchy Standard - это каталог /opt или /usr/local. Будучи отдельными разделами они не пропадут при переустановке системы.

2.3 Установка пароля суперпользователя

Установка хорошего пароля суперпользователя - это наиболее основное требование обеспечения безопасности системы.


2.4 Активизация теневых и MD5 паролей

В конце установки вас спросят, не хотите ли вы установить теневые пароли. Ответьте да, и пароли будут храниться в файле /etc/shadow. Доступ к этому файлу будут иметь только пользователь root и пользователи группы root, так что пользователи не смогут скопировать себе этот файл, чтобы прогнать его через программу-взломщик паролей. Вы можете в любой момент переключиться между теневыми и обычными паролями командой 'shadowconfig'. Кроме того, при установке системы вас спросят, не желаете ли вы использовать хешированные MD5 пароли. Обычно это стОящая вещь, поскольку она позволяет использовать более длинные пароли и улучшенные алгоритмы зашифровывания.


2.5 Запуск минимального количества сервисов

Не устанавливайте лишние сервисы на машине без необходимости. Каждый сервис - это потенциальная дыра в вашей защите. Если вы хотите оставить какой-либо сервис, но пользуетесь им нечасто, то используйте команду update-commands, т.е. 'update-inetd' для предотвращения загрузки сервиса при запуске системы. # This section needs a list of services,and what they do and the risk level # involved, as newbies don't have a clue.


[ назад ] [ Содержание ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ вперед ]

Securing Debian HOWTO

v1.1 14 February 2003Thu, 7 Dec 2000 19:10:13 +0100
Alexander Reelsen ar@rhwd.net
Перевод: Ильгиз Кальметьев, ilgiz@mail.rb.ru



Наш баннер
Вы можете установить наш баннер на своем сайте или блоге, скопировав этот код:
RSS новости